4 Replies Latest reply on Sep 22, 2017 6:32 AM by Klaus Salger

    HTTP Depot über Citrix Netscaler von außen erreichbar machen

    Nico Schmidtbauer Apprentice

      Hallo zusammen,

      ich habe mich mit dem Thema DMZ bzw. HTTP Depot bisher so gut wie gar nicht beschäftigt, komme jetzt allerdings in eine potentielle Kundensitutation wo ich mir vorstellen könnte, das ein "öffentliches" HTTP Depot ganz gut passen würde.

      Situation ist die, dass der potentielle Kunde mehrere "kleine" Standorte, sowie Traveling User, die zwar vollen Managed Client haben (sollen), aber oftmals doch nur via Terminal Service und nicht via VPN Arbeiten.

      Um das ganze nicht zu verkomplizieren, wäre es in dieser Situation (auch was die Anbindundgen der Standorte angeht und die Willigkeit Depotserver aufzustellen) ein HTTP Depot aus dem Internet erreichbar zu machen.

       

      Nun bin ich am überlegen, ob sich das nicht "einfach" über unseren Citrix Netscaler bewältigen lässt.

      - HTTP Depot + Management Point hinstellen.

      - SSL am Webserver grundsätzlich "ignorieren" bzw. unverschlüsselt lassen.

      - Über den Netscaler z.B. per Content Switch dann von extern erreichbar machen (8080 und 8081).

      - SSL Verschlüsselung per Netscaler implementieren (SSL Offloading).

       

      Die üblichen Themen wie Site-Zuordnung, Distribution etc. wie bei der Planung von neuen Sites sind klar. Aber soll oben genanntes grundsätzlich schon alles gewesen sein um es (rein technisch) zum laufen zu bringen?

      Hat evtl. jemand schon Erfahrung damit ein HTTP Depot via Citrix Netscaler zu "veröffentlichen"?

      Gruß

      Nico

        • 1. Re: HTTP Depot über Citrix Netscaler von außen erreichbar machen
          SitzRieSe Expert

          Hi Nico,

           

          ich habe soetwas schon mal gebaut und es funktioniert. Grundsätzlich würde ich dir davon abraten die Ports auf 8080 oder 8081 zu lenken. Da du Traveling User hast, sollte gewährleistet sein das auch von überall die Verbindung funktioniert. Wenn du Custom Ports verwendest, wird das in vielen Unternehmens- und auch Hotel Netzwerken zu einem Problem. Daher für den MP als auch für das Depot HTTPS über 443 verwenden.

           

          SSL am Webserver "ignorieren" hab ich bisher nicht so konfiguriert. Der DSM Agent muss ebenfalls wissen das er über HTTPS anfragen muss. Das konfigurierst du für den MP und Depot in der Infrastruktur. Wenn du das nun einschaltest, bedeutet das aber auch das der BLS per HTTPS mit dem MP sprechen will. Bei meiner Netscaler Konfiguration sollte das SSL Zertifikat nur über den Netscaler nach draußen getragen werden. Wir haben dann für die interne Kommunikation ein self signed Zertifikat verwendet und den DSM Servern bekannt gemacht.

           

          Gleichzeitig musst du dich dann noch um die Namensauflösung kümmern. Je nachdem wie die interne Domäne lautet, kriegst du den Namen nicht gepublisht und musst mit einem anderen externen Namen arbeiten. Ich verwende bei der Installation des MP immer den "normalen" Hostnamen und ändere dann später mit dsmc.exe /AllowSrvMove die Namen der Server. Es gibt auch für den MP eine Einstellung für eine alternativen URL:

           

           

          Den hab ich allerdings noch nie verwendet. Evtl damit mal spielen. Machst du es so wie ich, musst du unter der Site noch den DNS Eintrag rausnehmen weil der sonst bei der Kommunikation hostname.domain.local.domain.local auflösen will:

           

           

          Ist der Wert leer, funktioniert es korrekt. Als letztes hast du dann bei der Distribution noch das Problem das Windows keine SMB Verbindungen erlaubt wenn nicht der korrekte Hostname verwendet wird. Dabei helfen dir die Regkeys:

           

           

          1. HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters

            DisableStrictNameChecking = 1 (DWORD32)
            OptionalName = sample.domain.de (String)

          Und

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

          BackConnectionHostNames (REG_MULTI_SZ) = sample.domain.de

           

           

           

           

          Noch eine fiese Falle! Am Depot musst du noch in die Properties! Per Default ist nämlich unter Protocol HTTP nichts konfiguriert und unter Protocol SMB ein *. Dann versucht der Agent weiterhin per SMB ans Depot zu kommen obwohl du HTTPS für das Depot konfiguriert hast. Daher muss das dann so aussehen:

          Unter SMB dann nur das Master Depot von wo Distriburiert werden soll.

           

          Das ist alles

           

          Gruß

           

          Alex

          • 2. Re: HTTP Depot über Citrix Netscaler von außen erreichbar machen
            Klaus Salger Expert

            Dass die Verbindung über einen bereits vorhandenen Netscaler viel einfacher ist als extra Server in die DMZ zu stellen ist klar.

            Interessant ist m.E. aber auch, wie sicher die Lösung ist.

             

            Nur den Traffic per Reverse Proxy durch die DMZ ins interen Netz zu schleusen bringt ja nicht den großen Sicherheitsgewinn - dann könnte man auf die DMZ auch ganz verzichten.

             

            Einen Gewinn kann man sich wohl erhoffen wenn

            - der Netscaler den Traffic analysiert und in der Lage ist legitimen (SOAP-) Traffic von illegitimem zu unterscheiden und evtl. auch bekannte Angriffsmuster zu erkennen.

            - es eine Authentifizierung der legitimen Clients am Netscaler gibt, z.b. Zertifikat-basierend.

             

            Das Sicherheitsniveau eines extra Management Points + Depot in einer DMZ wird man trotzdem wohl nicht erreichen aber damit kann man evtl. leben wenn der Netscaler wirklich einen effizienten Filter darstellt und nicht nur alles durchleitet.

             

            Wie ist das bei euch?

             

            Ciao

              Klaus

            • 3. Re: HTTP Depot über Citrix Netscaler von außen erreichbar machen
              SitzRieSe Expert

              Hi Klaus,

               

              also in dem von mir geschilderten Szenario war das trotzdem ein DMZ Depot wo ein Netscaler vorgeschaltet war. So hatte ich auch die Anfrage von Nico verstanden...

               

              Ich würde trotzdem darüber hinaus immer dafür sorgen das der IIS entsprechend "gehärtet" wird, das halt auch sichere SSL Protokolle verwendet werden und auch nur ein authorisierter Zugriff möglich ist. Ansonsten sollte man halt immer eine Firewall davor haben, dann halte ich das schon für ein sicheres Konzept.

               

              Gruß


              Alex

              • 4. Re: HTTP Depot über Citrix Netscaler von außen erreichbar machen
                Klaus Salger Expert

                Hi Alex,

                 

                ah, verstehe, das ist dann bei dir also ein sehr sicheres Setup. Sicherer als ohne Netscaler.

                 

                Gerade für kleinere Kunden finde ich die andere Variante, nämlich Verbindung direkt per Netscaler auf die DSM-Infrastruktur im LAN natürlich auch interessant weil eben weniger aufwendig.

                Ist halt nur die Frage, ob das ausreichend sicher ist.

                Und das hängt von den vorhandenen Netscaler Features und deren Konfiguration ab.

                Würde mich interessieren, ob das jemand so macht bzw. wie die Security Experten das beurteilen.

                 

                Ciao

                  Klaus